A Net-jog.hu irodája:

2119 Pécel, Álmos vezér utca 24/1.
Telefon: +36 30 622 41 79 (H-Cs 10 és 12, illetve 13 és 15 óra között)

Központi e-mail:

Központi telefonszám: +36 1 506 0338 (H-P 8-20 óra között)

gdpr tanácsadás

500.000 Ft-os GDPR bírság

A Nemzeti Adatvédelmi és Információszabadság Hatóság határozatában  500 000 Ft összegű adatvédelmi bírság megfizetésére kötelezett egy egészségügyi intézményt.

A bírság kiszabására azért került sor, mert az Intézmény megsértette az általános adatvédelmi rendelet több pontját is.

Az Intézmény korábbi orvos-igazgatója kérelmet nyújtott be a Hatósághoz azzal, tudomására jutott, hogy a jelenlegi igazgató, a kórházi elektronikus levelezése (tudomása szerint törölt, valójában) inaktivált fiókjai visszaállítását rendelte el. A jelenlegi igazgató ezt azzal indokolta, hogy kerestek egy jogi dokumentumot. A Kérelmező kifogásolta, hogy ennek során a fiókokban bármelyik dokumentumához hozzáférhettek, bármely személyes adatát megismerhették, hiszen magánlevelezésekre is használta azokat.

A Hatóság a tényállás tisztázása után megállapította, a közfeladatot ellátó szervek esetében az adatkezelés jogalapja az általános adatvédelmi rendelet 6. cikk (1) bekezdés e) pontja szerinti jogalap lehet, melynek értelmében a személyes adatok kezelése akkor jogszerű, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

Ebből következően a Kötelezett rendelkezhet jogalappal az e-mail-fiókok teljes archívumainak megőrzésével összefüggő adatkezelés tekintetében, ugyanakkor ez a tárolás nem jelent korlátlan ideig történő adatmegőrzést.

A munkáltatónak, mint adatkezelőnek, e vonatkozásban mindenekelőtt tájékoztatnia kellett volna a munkavállalót a tervezett adatkezelési műveletről és lehetőséget kellett volna biztosítania számára, hogy az adatok kezelését (törlését) kontrollálhassa. Ebben az esetben ez nem történt meg, a munkavállalót nem tájékoztatták előzetesen, így a dokumentum keresésnél sem lehetett jelen.

Az Intézmény rendelkezett jogalappal az e-mail-fiókok archívumaiban történő, munkavégzési célú levelekben történő keresésre. Ugyanakkor mindez a Kérelmező e-mail-fiókjaiban található, kizárólag munkavégzéssel összefüggő leveleire vonatkozik. A Kérelmező magánlevelezéseiben történő keresésre – mivel azok nem kapcsolódnak a foglalkoztatási jogviszonyhoz – a Kötelezett nem jogosult jogszerű adatkezelési cél és megfelelő jogalap hiányában. Ezért a Hatóság megállapította, hogy az Intézmény a Kérelmező kifejezetten magánjellegű leveleit is tartalmazó e-mail-fiókjaiban történő kereséssel megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pontját és az általános adatvédelmi rendelet 6. cikkét.

A Hatóság határozatában javaslatot tett arra, hogy az Intézménynek egy belső szabályzatot lenne célszerű megalkotnia a munkavállalók rendelkezésére bocsátott e-mail-fiókok használatának szabályairól.

A Hatóság enyhítő körülményként értékelte a bírság kiszabása során, hogy a Kérelmező jogviszonyának megszűnésekor lehetősége lett volna postafiókjában törölni személyes levelezéseit, személyes adatait, tekintettel arra,hogy legalább egy hónappal korábban tudta jogviszonya megszűnésének időpontját.

Feleljen meg a GDPR-nek! Kérje árajánlatunkat a DPO tisztség betöltésére, céges GDPR adatvédelmi auditra, az adatkezelési tájékoztató, a GDPR adatvédelmi szabályzat elkészítésére a net-jog@net-jog.hu-n, vagy az Ajánlatkérő űrlapunkon! Net-jog.hu: IT ügyvédek sokéves tapasztalattal, milliós bírsággaranciával.